Mozilla Foundation セキュリティアドバイザリ 2005-37
- タイトル
- "javascript:" 形式の favicon を通じたコードの実行
- 重要度
- 最高
- 報告者
- Michael Krax
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.3
- Mozilla Suite 1.7.7
概要
Firefox と Mozilla Suite は、<link rel="icon"> タグを通じて、サイトごとの favicon (ブックマークアイコン) をサポートしています。その link タグが、プログラムによりページに追加され、「javascript:」形式の URL が使われていた場合、そのスクリプトがより高度な特権で実行され、悪質なソフトウェアが実行されたりインストールされる可能性があります。
回避策
- JavaScript を無効にしてください。